Azure Active DirectoryをIDプロバイダーにする

Azure Active Directory（AAD）に認証を委任するには、OktaでAADをIDプロバイダー（IdP）として構成する必要があります。

はじめに

Azure Active DirectoryでのOktaエンタープライズアプリの作成を完了し、以下をメモします。

ログインURL
AADの識別子
ダウンロードした証明書（Base64）

この手順を開始する

この手順には次のタスクが含まれます。

Azure ADをIDプロバイダーとして追加する
Microsoft AzureポータルでOktaアプリを更新する

この手順では、SAMLを使用してAADをIDプロバイダーとして設定する手順を示します。OpenID Connectの使用については、「OktaでのIDプロバイダーの作成」を参照してください。OpenID Connectを使用してIdPを作成した後、Azureのルーティングルールをセットアップできます。「IDプロバイダーのルーティングルールの構成」を参照してください。

Azure ADをIDプロバイダーとして追加する

Admin Consoleで、［Security（セキュリティ）］［Identity Providers（IDプロバイダー）］に移動します。
［Add Identity Provider（IDプロバイダーを追加）］をクリックして、［Add SAML 2.0 IdP（SAML 2.0 IdPを追加）］を選択します。
［Name（名前）］フィールドに「AAD」またはIDプロバイダーの名前を入力します。

［AUTHENTICATION SETTINGS（認証設定）］セクションの以下のフィールドに入力します。

フィールド	値
［IdP Username（IdPユーザー名）］	idpuser.email と入力します。
［Filter（フィルター）］	任意。［Only allow usernames that match defined RegEx pattern（定義された正規表現パターンに一致するユーザー名のみを許可）］チェックボックスを選択し、正規表現パターンを入力します。このパターンによりIdPユーザー名がフィルタリングされ、IdPが意図しないユーザーや特権ユーザーを認証するのを防ぐことができます。
［Match against（照合対象）］	ドロップダウンリストからOktaユーザー属性を選択します。例：Oktaユーザー名。このOktaユーザー属性は、既存のユーザーを検索するためにIdPユーザー名と照合されます。
［Account Link Policy（アカウントリンクポリシー）］	［Automatic（自動）］を選択すると、受信IdPユーザーがOktaの既存のユーザーにリンクされます。ユーザーを手動でリンクする場合、またはユーザーをリンクしない場合は、［Disable（無効）］を選択します。
［Auto-link Restrictions（自動リンクの制限）］	任意。指定した特定のグループに自動アカウントリンクを制限できます。ドロップダウンリストから［Specific Groups（特定のグループ）］を選択し、グループ名を入力します。一致するユーザーが指定されたグループのいずれかに属している場合にのみ、IdPユーザーが自動的にリンクされます。
［If no match is found（一致が見つからない場合）］	任意。［Create new user (JIT)（新規ユーザー（JIT）を作成）］を選択して、一致しないユーザー用に新しいアカウントを作成します。

［JIT Settings（JITの設定）］エリアで以下のフィールドに入力します。

フィールド	値
［Profile Source（プロファイルソース）］	［Update attributes for existing users（既存ユーザーの属性を更新）］チェックボックスを選択します。
［Reactivation Settings（再アクティベーションの設定）］	任意。［Reactivate users who are deactivated in Okta（Oktaで非アクティブ化されたユーザーを再度有効にする）］チェックボックスと［Unsuspend users who are suspended inOkta（Oktaで一時停止されているユーザーの一時停止を解除する）］チェックボックスを選択します。
［Group Assignments（グループの割り当て）］	任意。プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。ユーザーを特定のグループに割り当てること、SAML属性名とグループフィルターに基づいて欠落しているグループに追加すること、グループの完全同期を実行することができます。

フィールド

値

［Profile Source（プロファイルソース）］

［Update attributes for existing users（既存ユーザーの属性を更新）］チェックボックスを選択します。

［Reactivation Settings（再アクティベーションの設定）］

任意。

［Reactivate users who are deactivated in Okta（Oktaで非アクティブ化されたユーザーを再度有効にする）］チェックボックスと［Unsuspend users who are suspended inOkta（Oktaで一時停止されているユーザーの一時停止を解除する）］チェックボックスを選択します。

［Group Assignments（グループの割り当て）］

任意。

プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。

ユーザーを特定のグループに割り当てること、SAML属性名とグループフィルターに基づいて欠落しているグループに追加すること、グループの完全同期を実行することができます。

［SAML Protocol Settings（SAMLプロトコル設定）］エリアの以下のフィールドに入力します。

フィールド	値
［IdP Issuer URI（IdP発行者URI）］	以前に記録した［Azure AD Identifier（Azure AD識別子）］フィールドの値を入力します。
［IdP Single Sign-On URL（IdPシングルサインオンURL）］	前に記録したAzure AD［Login URL（ログインURL）］フィールドの値を入力します。
［IdP Signature Certificate（IdP署名証明書）］	［Browse files（ファイルを参照）］をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、［Open（開く）］をクリックします。

［Add Identity Provider（IDプロバイダーを追加）］をクリックします。
［Identity Providers（IDプロバイダー）］ページで、AAD IDプロバイダーの展開（）アイコンをクリックし、次のフィールドの値を記録します。
- ［Assertion Consumer Service URL（アサーションコンシューマーサービスURL）］
- ［Audience URL（オーディエンスURL）］

IdPとしてAzureを追加した後、そのルーティングルールを構成します。ルーティングルールにより、ユーザーのデバイス、メールドメイン、またはアクセスしようとしているアプリなどに基づき、ユーザーをIdPに導くことができます。「IDプロバイダーのルーティングルールの構成」を参照してください。

Microsoft AzureポータルでOktaアプリを更新する

Microsoft Azureポータルにサインインし、左上のポータルメニューアイコンをクリックして、［Azure Active Directory］を選択します。
左側のメニューで［Enterprise Applications（エンタープライズアプリケーション）］をクリックし、アプリケーションのリストで［Okta］を選択します。
左メニューで［Single sign-on（シングルサインオン）］をクリックし、［SAML］をクリックします。

［Basic SAML Configuration（基本SAML構成）］エリアで［編集］をクリックし、以下のフィールドに入力します。

フィールド	値
［Identifier (Entity ID)（識別子（エンティティID））］	手順8で記録したオーディエンスURIの値を入力します。
［Reply URL (Assertion Consumer Service URL)（返信URL（Assertion Consumer Service URL））］	手順8で記録したAssertion Consumer Service URLの値を入力します。

［保存］と［Close（閉じる）］をクリックします。

次の手順

Azure Active Directory属性をOkta属性にマッピングする